%-----------------------------------------------------------------------------
\chapter{Stand der Technik}
%-----------------------------------------------------------------------------

%Die Arbeit baut auf folgende aktuelle Fakten auf.

%IT-Informationssicherheit definieren - ISO-27001 - österr. Sicherheitshandbuch.
%Geschäftsprozesse 
%für KMUs


%Nicht vergessen http://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-1:v1:en

\section{IT Infrastructure Library (ITIL)}
"`Die IT Infrastructure Library (ITIL) ist eine Sammlung von Best Practices bzw.
Good Practices \ldots, die eine mögliche Umsetzung
eines IT-Service-Managements (ITSM) beschreiben und inzwischen international als
De-facto-Standard hierfür gelten. In dem Regel- und Definitionswerk werden die
für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die
Aufbauorganisation und die Werkzeuge beschrieben. \ldots Dabei werden die Planung,
Erbringung, Unterstützung und Effizienz-Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen als
relevante Faktoren zur Erreichung der Geschäftsziele eines Unternehmens
betrachtet"' \cite{itilwik}.
%TODO Zitat nicht richtig in Datei
"`These days IT 
management is focussing particularly on the de 
facto standard ITIL (IT Infrastructure Library) 
for implementing IT service management"' \cite[S. 1]{1402383}

\section{International Organization for Standardization (ISO)}
"`Die Internationale Organisation für Normung – kurz ISO (\ldots englisch
International Organization for Standardization) – ist die internationale
Vereinigung von Normungsorganisationen und erarbeitet internationale Normen \ldots"' \cite{what-is-iso}.
\newline
\newline
Daher sind die Implementierungen dieser Normen, solange sie den Vorgaben
ebendieser entsprechen, auch wenn sie unterschiedlich und/oder in
unterschiedlichen Lädern erstellt werden, vergleichbar.
Sowie aus dem Blickwinkel der Mindestforderngen der Normen gleichwertig.


\subsection{ISO/IEC-27001:2005}
%Jetzt paßt´s!
"`ISO/IEC 27001:2005 covers all types of organizations (e.g. commercial
enterprises, government agencies, not-for profit organizations). ISO/IEC
27001:2005 specifies the requirements for establishing, implementing, operating,
monitoring, reviewing, maintaining and improving a documented Information
Security Management System within the context of the organization's overall
business risks. It specifies requirements for the implementation of security
controls customized to the needs of individual organizations or parts thereof.
\newline
ISO/IEC 27001:2005 is designed to ensure the selection of adequate and
proportionate security controls that protect information assets \ldots"'
\cite{iso27001}.


\subsection{ISO/IEC-27002:2005}
"`ISO/IEC 27002:2005 establishes guidelines and general principles for
initiating, implementing, maintaining, and improving information security
management in an organization. The objectives outlined provide general guidance
on the commonly accepted goals of information security management. ISO/IEC
27002:2005 contains best practices of control objectives and controls \ldots"'
\cite{iso27002}


\section{IT-Informationssicherheit}
%TODO Hier dann vielleicht am Ende noch etwas besseres finden
% Der Satz hier ist doch sehr allgemein
"`Informationssicherheit entsteht nicht von selbst aus Technik oder Know-How,
sondern zunächst aus dem Bewußtsein des Management und der
Mitarbeiter/Mitarbeiterinnen einer Organisation, dass Informationen
schützenswerte und gefährdete Werte für alle Beteiligten darstellen. Daher sind
auch kontinuierlich Anstrengungen und Kosten für Informationssicherheit in Kauf
zu nehmen, um sie zu erhalten.Es muss allerdings ebeso bewusst sein, dass 100 \%
Sicherheit nicht erreicht werden kann, wie viel man auch investiert. Ziel muss
es also sein, ein angemessenes Sicherheitsniveau zu erreichen und dauerhaft zu
erhalten"' \cite[S. 36]{oesiha}.



 \subsection{Informationssicherheitsmanagementsystem
 (ISMS)}
"` Durch Etablieren und Erhalten eines
Informationssicherheits-Managementsystems (ISMS) sollen die grundlegenden Ziele
der Informationssicherheit erreicht werden:
\newline
\newline
Integrität: 
\newline
Informationen dürfen nur von den vorgesehenen Personen und
Prozessen verändert werden, 
\newline
\newline 
Vertraulichkeit: 
\newline 
Informationen dürfen nur für die
vorgesehenen Personen und Prozesse offen gelegt werden, 
\newline 
\newline 
Verfügbarkeit: 
\newline 
Informationen müssen
für die vorgesehenen Personen und Prozesse bereitgestellt sein, wenn diese sie
benötigen"' \cite[S. 37]{oesiha}.



%-----------------------------------------------------------------------------
\section{Das österreichische
IT-Informationssicherheits-handbuch der A-SIT}
%-----------------------------------------------------------------------------


%TODO Vielleicht solltest du aber auch weglassen wer oder was die A-SIT sowie
% das BSI sind. Hat das wirklich etwas in so einem Dokument zu suchen?
% Wenn du zu wenig Seiten zusammenbekommst dann ...

%\subsection{Das österreichische IT-Informationssicherheits-handbuch}
"`Das Österreichische Informationssicherheitshandbuch positioniert sich in der
Mitte zwischen den normativen Vorgaben der ISO/IEC Normen 27001 / 27002 und
verwandter Standards sowie der Fülle an sehr detaillierten Leitfäden und
Handbüchern zur Informationssicherheit, beispielsweise den Grundschutz-Standards
und -Bausteinen des BSI. Einerseits ist es durchaus im Stil einer Vorschrift
formuliert, um notwendige Überlegungen und Maßnahmen klar und unzweifelhaft zu
darzustellen, andererseits bietet es eine Auswahl an Möglichkeiten und
Entscheidungskriterien für die Implementierung in der Praxis. Dabei wurde
allerdings auf die die gebotene Kompaktheit geachtet"' \cite[S. 28]{oe-siha}.


\subsection{Zentrum für sichere Informationstechnologie - Austria (A-SIT)}
Hier noch



\section{IT-Grundschutzansatz des Bundesamtes für 
Informationstechnologie (BSI) in Deutschland}
%-----------------------------------------------------------------------------

"`Der IT-Grundschutz repräsentiert einen Standard für die Etablierung und Aufrechterhaltung eines 
angemessenen Schutzes aller Informationen einer Institution. Diese \ldots Methode
bietet sowohl eine Vorgehensweise für den Aufbau eines Managementsystems für
Informationssicherheit als auch eine umfassende Basis für die Risikobewertung,
die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der
angemessenen Informationssicherheit."' \cite[S. 6]{gs-vorgehensweise}.


\subsection{Das Bundesamt für Informationstechnologie (BSI) in Deutschland}
"`Das Bundesamt für Sicherheit in der Informationstechnik \ldots gehört zum
Geschäftsbe­reich des Bundesministeriums des Innern. Mit seinen derzeit rund 550
Mitarbeiterinnen und Mitarbeitern und 62 Mio. Euro Haushaltsvolumen ist das BSI
eine unabhängige und neutrale Stelle für alle Fragen zur IT-Sicherheit in der
Informationsgesellschaft. \ldots 
Ziel des BSI ist der sichere Einsatz von Informations- und
Kommunikati­onstechnik in unserer Gesellschaft. IT-Sicherheit soll als wichtiges
Thema wahrgenommen und eigenverantwortlich umgesetzt werden"' \cite[S.4]{gs-leitfaden}.




%Incident Meldungen \ldots Hier vielleicht noch???


%-----------------------------------------------------------------------------
\section{Geschäftsprozesse}
%-----------------------------------------------------------------------------
Hier noch



%TODO Das dann später hinten bei der Argumentation Effizienz usw. usf.






